小编典典

jQuery Ajax数据发布的安全建议?

ajax

我正在使用jquery ajax将更新发布回我的服务器。我担心要确保已采取适当的措施,以便只有我的AJAX呼叫才能发布数据。

我的堆栈是针对MySQL后端的Apache上的PHP。

忠告不胜感激!


阅读 233

收藏
2020-07-26

共1个答案

小编典典

您页面中的AJAX调用可以发出的任何请求也可以由应用程序外部的人发出。如果操作正确,您将无法确定它们是来自Web应用还是通过手动/其他方式进行的AJAX调用。

当您说要确保只有AJAX调用可以发布数据时,我可能会想到两种情况:一种是您不希望恶意用户能够发布会干扰另一种数据的数据。用户数据,或者您实际上想将帖子限制在多请求操作的“流程”中。

如果您担心第一种情况(有人向其他用户发布恶意数据/以其他用户身份发布),则无论您是否使用AJAX,解决方案都是相同的-
您只需通过必要的方式对用户进行身份验证-通常是通过会话进行曲奇饼。

如果您担心第二种情况,那么您将必须执行一些操作,例如在流程的每个步骤中发出唯一令牌,并将预期令牌存储在服务器端。然后,在发出请求时,请检查服务器端是否有针对正在执行的操作的相应条目,并且预期的令牌匹配并且该令牌尚未使用。如果没有,则拒绝该请求;如果存在,则将该令牌标记为已使用并处理该请求。

如果您担心的不是这两种情况之一,那么答案将取决于比您提供的更多的细节。

2020-07-26